Згідно з аналізом репозиторію, він містить набір навчальних даних, відкритий код і ШІ-моделі для розпізнавання зображень. Будь-хто міг завантажити набір моделей з URL-адреси Azure Storage, власного хмарного сервісу компанії. Але якщо покопатися, там можна було знайти набагато більше.
Дивіться також Microsoft захистить усіх, на кого подадуть до суду за використання Copilot
Що відомо
У Wiz виявили, що ця URL-адреса була налаштована на надання прав "повного контролю" на весь обліковий запис сховища, а не прав "тільки для читання". Це призвело до розкриття додаткових конфіденційних даних обсягом 38 терабайтів, зокрема особистих резервних копій комп'ютерів двох співробітників Microsoft.
Також у сховищі містилася й інша конфіденційна персональна інформація на кшталт паролів до сервісів Microsoft, секретних ключів і понад 30 000 внутрішніх повідомлень від сотень співробітників компанії в Microsoft Teams.
Обліковий запис сховища не було відкрито безпосередньо, але розробники Microsoft AI додали до URL дозвільний токен підпису загального доступу SAS – механізм, що використовується в Azure, який дає змогу створювати розділені посилання, що надають доступ до даних облікового запису Azure Storage.
Жодних даних клієнтів не було розкрито, і жодні інші внутрішні служби не піддавалися ризику через цю проблему,
– прокоментували в компанії.
Співзасновник і технічний директор компанії Wiz Амі Люттвак заявив, що штучний інтелект відкриває величезний потенціал для технологічних компаній. За його словами, величезні обсяги даних, з якими працюють вчені та інженери, вимагають додаткових перевірок і заходів безпеки. Оскільки багатьом командам розробників доводиться маніпулювати величезними обсягами даних, ділитися ними зі своїми колегами або співпрацювати в рамках публічних проєктів із відкритим вихідним кодом, такі випадки, як у випадку з Microsoft, стає дедалі важче відслідковувати й уникати.